2017-02-24

Beskyt virksomheden mod ransomware - Cisco Umbrella



Hvis bare man har fulgt en lille smule med i nyhederne det seneste år, så kan man ikke undgå at have hørt om ramsomware. Vi bliver nærmest bombarderet med artikler, f.eks.


Ransomware er blevet "det nye sort" for cyberkriminelle, da indtægt vs. risiko for at blive pågrebet, er meget favorabel i den kriminelles favør. Det forventes at de kriminelles fortjeneste vil overstige 1 milliard dollar i 2017 alene. Det er derfor heller ikke underligt at vi så en 30-dobling af antallet af ransomware varianter i 2016 alene.

Kilde: Proofpoint


Dertil kommer alle de andre trusler så som virus og trojanere som vi hidtil har været vandt til, samt den ufattelige mængde af usikre IoT devices som dagligt bliver kompromitteret og lavet om til botnet-zombies. Vores traditionelle forsvarsmekanismer så som firewalls og antivirus er ikke længere nok for at beskytte os mod disse trusler. Ofte er det netop virksomhedernes egne medarbejdere som ved et uheld er skyld i ransomware udbrud i virksomheden. Selv om medarbejderne burde "vide bedre" end at trykke på links i mails eller åbne filer man ikke ved er 100% i orden, så sker det i praksis jævnligt. Det kræver blot én uforsigtig medarbejder! Samtidig er bagmændende blevet meget bedre til at lave mails og hjemmesider som er "skræddersyet" til virksomhederne (targeted phishing). Et andet fif som de benytter sig af er jobansøgninger til stillingsopslag. HR afdelingen er vandt til at åbne diverse filtyper (pdf, docs, xls etc.) ifm. ansøgningerne. En anden udbredt metode til at distribuere ransomware er via inficerede reklamer på velbesøgte hjemmesider (malvertising).


Et typisk hændelsesforløb for en ransomware infektion starter som sagt oftest ved at en medarbejder trykker på et link i en phishing e-mail eller på en hjemmeside. Dette starter et lille program eller åbner en hjemmeside hvor selve ransomwarens payload ligger. Hvis ransomwaren eksekveres successfuld, så vil denne gå i gang med, i bedste fald at kryptere den pågældende maskine, i værste fald hele virksomhedens maskiner. Herefter får man en besked om at betale et større eller mindre beløb for at få dekrypteret ens data. Hvis man har en fornuftig backup løsning (og som ikke også er blevet kompromitteret), så kan man genetablere ens data fra backup. Dette vil dog kræve en del arbejde for at komme tilbage til status quo, hvor virksomheden i større eller mindre grad ligger stille med tilsvarende tab til følge. Under alle omstændigheder vil alle nye data, siden sidste backup, være tabt. Alternativt kan man vælge at betale løsepengene og håbe på at de kriminelle både kan og vil dekryptere dataene. Det bedste ville selvfølgelig være at alle undlod at betale, da det så ikke ville kunne betale sig for bagmændende at fortsætte med at lave ransomware, men undersøgelser viser at omkring 50% vælger at betale. Men selv om virksomheden får sine data igen, er der ingen garanti for at der ikke ligger en rest af ransomware tilbage som eksekveres igen på et senere tidspunkt. Jvf. Cisco's cybersikkerhedsrapport for 2017, så fortæller 29% af ramte virksomheder at have mistet omsætning ifm. et angreb, og 22% siger de har mistet kunder i størrelsesordenen af op til 20% af kundebasen.


Som supplement til de traditionelle sikkerhedsmekanismer, skal vi altså stoppe angrebene inden de overhovedet kan eksekveres. Virksomheders seneste våben mod disse trusler er DNS, nærmere bestemt Cisco Umbrella, som er baseret på OpenDNS. Cisco Umbrella fungerer i korte træk ved at stoppe adgang til sider med malware eller ved at forhindre virus og ransomware i at få fat i deres payloads. Måden dette opnås ved, er at stoppe adgang på DNS niveau. Fælles for alle typer hardware og software er, at disse benytter DNS til at navigere Internettet. For dem som ikke måtte være helt så teknisk minded, så kan DNS sammenlignes med en telefonbog (jep, den store bog som vi brugte så ofte inden alle vores numre blev gemt i vores smartphones). Vi som mennesker kan oftest ikke huske alle numrene i hovedet, men vi kender navnet på den person vi vil have fat i. Derfor brugte vi telefonbogen til at slå nummeret op med. På samme måde, så har vi ofte svært ved at huske IP adresserne i hovedet (især nu når IPv6 bliver mere og mere udbredt). Det er nok de færreste der skriver http://157.240.1.35 i vores browser når vi vil tilgå facebook.com. I stedet anvendes DNS navne som facebook.com og google.com når vi vil tilgå sider. Vores maskiner skal dog bruge en IP adresse og til dette anvendes DNS som er en sammenkædning mellem DNS navn og IP adresse, på samme måde som telefonbogen var en sammenkædning af navn og telefonnummer. Det som Cisco Umbrella i korte træk gør, er at forhindre vores maskiner i at få fat i den rette IP adresse, når man forsøger at tilgå en side som er kendt for at have f.eks. malware. I stedet ledes brugeren hen til en side som fortæller at adgang er blokeret pga. malware. Det samme gør sig også gældende hvis f.eks. noget ransomware forsøger at tilgå siden hvor dens payload ligger. Den får simpelt hen ikke den rigtige IP adresse retur og dermed heller ikke noget der kan afvikles på brugernes maskiner, samtidig med at virksomheden advares om at en maskine formentlig er inficeret.



Hvordan kommer man som virksomhed så igang med Cisco Umbrella. Det er såmend ret simpelt. Man vælger hvilken licens der passer til virksomheden samt hvor mange brugere licensen skal gælde for. Herefter er der blot tilbage at ændre virksomhedens nuværende DNS servere til Cisco Umbrella's servere. Jeg tror ikke der findes mange sikkerhedsprodukter som er så nemme at implementere som denne. Hvis man også ønsker at udvide sikkerheden til virksomhedens brugere når de er på farten, integration mod virksomhedens Active Directory eller har specielle behov for sider der ikke må tilgås, så kræver det en smule mere konfiguration, men alt i alt er det uhyre simpelt at sætte op og man får meget sikkerhed for pengene. Det er altså ikke nødvendigt at installere en masse programmer for at beskytte alle typer enheder, herunder dem som ikke understøtter brug af agenter. Det gælder også for udefrakommende som er på gæste-wifi (I anvender vel ikke jeres interne wifi til gæster, vel?), IoT devices, industrielle maskiner m.m. Virksomheden får også adgang til diverse rapporteringsværktøjer, som viser hvor mangle trusler der er blevet afværget, hvilke typer sider medarbejderne surfer på, hvilke cloud tjenester der anvendes, trafikmønstre m.m.









Dette var lidt om Cisco Umbrella, som virkelig kan gøre en forskel hvad angår virksomhedens muligheder for at imødegå nytidens trusselbillede. Løsningen kan ikke stå alene, så firewalls, backup, uddannelse, segmentering, patch management, log management m.m. har stadigvæk deres berettigelse i virksomhedens samlede forsvar, men den tilfører en ekstra dimension som traditionelle sikkerhedsprodukter ikke kunne levere - en reel beskyttelse mod ransomware og trojanere.

Skulle I have fået lyst til at vide mere om Cisco Umbrella eller se en demo, er I selvfølgelig meget velkommen til at kontakte os på tlf. 9635 4595 eller info@netic.dk.

Ingen kommentarer:

Send en kommentar